Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 36 replies
  • Subscribers 1 subscriber
  • Views 57551 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SSL VPN - Not working after upgrade to UTM 9

TheExpert
Hello together,

I upgraded from ASG 8.305 to UTM 9. When wanting to connect via SSL VPN I see the following error in the Log of the SSL VPN client which is updated, too:

VERIFY X509NAME ERROR: C=de, L=***, O=*** Mössner, CN=***, emailAddress=***, must be C=de, L=***, O=*** Mössner, CN=***, emailAddress=***

You can see that there is difference for the "O" field. The certificates were imported from the ASG installation where the SSL VPN worked fine.

When looking into the certificates on the UTM 9 and on the client, the "O" field looks good, there is no problem with vowel mutation.

So my question is: Which certificate is presented with the wrong information? Is it the certifacte of the SSL VPN client or is it the CA certificate of the UTM 9 and what can I do to correct the issue without resigning the HTTPS proxy certificate and all the other certificates?

Thank you

TheExpert


This thread was automatically locked due to age.
  • 0 in reply to x-tec
    Hi all,

    I've tried 9.003 - it's still not working...

    Greetings,

    Philipp
  • 0 in reply to x-tec
    Hi all,

    I've tried 9.003 - it's still not working...

    Greetings,

    Philipp


    I got the issue with different UTM's running the newest code "9.107-33"

    Tue Jan 28 00:17:16 2014 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 14 2013
    Enter Management Password:
    Tue Jan 28 00:17:16 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25347
    Tue Jan 28 00:17:16 2014 Need hold release from management interface, waiting...
    Tue Jan 28 00:17:16 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25347
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'state on'
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'log all on'
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'hold off'
    Tue Jan 28 00:17:16 2014 MANAGEMENT: CMD 'hold release'
    Tue Jan 28 00:17:23 2014 MANAGEMENT: CMD 'username "Auth" "admin"'
    Tue Jan 28 00:17:23 2014 MANAGEMENT: CMD 'password [...]'
    Tue Jan 28 00:17:23 2014 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jan 28 00:17:23 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan 28 00:17:23 2014 Socket Buffers: R=[65536->65536] S=[64512->64512]
    Tue Jan 28 00:17:23 2014 MANAGEMENT: >STATE:1390864643,RESOLVE,,,
    Tue Jan 28 00:17:23 2014 Attempting to establish TCP connection with [AF_INET]x.x.x.x:443 [nonblock]
    Tue Jan 28 00:17:23 2014 MANAGEMENT: >STATE:1390864643,TCP_CONNECT,,,
    Tue Jan 28 00:17:24 2014 TCP connection established with [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:24 2014 TCPv4_CLIENT link local: [undef]
    Tue Jan 28 00:17:24 2014 TCPv4_CLIENT link remote: [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:24 2014 MANAGEMENT: >STATE:1390864644,WAIT,,,
    Tue Jan 28 00:17:24 2014 MANAGEMENT: >STATE:1390864644,AUTH,,,
    Tue Jan 28 00:17:24 2014 TLS: Initial packet from [AF_INET]x.x.x.x:443, sid=0c7409d2 8c568c63
    Tue Jan 28 00:17:24 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Tue Jan 28 00:17:25 2014 VERIFY OK: depth=1, C=ch, L=Sissach, O=Firma AG, CN=Firma AG VPN CA, emailAddress=name@email.de
    Tue Jan 28 00:17:25 2014 VERIFY ERROR: could not extract CN from X509 subject string ('C=ch, L=Sissach, O=Firma AG') -- note that the username length is limited to 64 characters
    Tue Jan 28 00:17:25 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Jan 28 00:17:25 2014 TLS Error: TLS object -> incoming plaintext read error
    Tue Jan 28 00:17:25 2014 TLS Error: TLS handshake failed
    Tue Jan 28 00:17:25 2014 Fatal TLS error (check_tls_errors_co), restarting
    Tue Jan 28 00:17:25 2014 SIGUSR1[soft,tls-error] received, process restarting
    Tue Jan 28 00:17:25 2014 MANAGEMENT: >STATE:1390864645,RECONNECTING,tls-error,,
    Tue Jan 28 00:17:25 2014 Restart pause, 5 second(s)
    Tue Jan 28 00:17:30 2014 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Tue Jan 28 00:17:30 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Tue Jan 28 00:17:30 2014 Socket Buffers: R=[65536->65536] S=[64512->64512]
    Tue Jan 28 00:17:30 2014 MANAGEMENT: >STATE:1390864650,RESOLVE,,,
    Tue Jan 28 00:17:30 2014 Attempting to establish TCP connection with [AF_INET]x.x.x.x:443 [nonblock]
    Tue Jan 28 00:17:30 2014 MANAGEMENT: >STATE:1390864650,TCP_CONNECT,,,
    Tue Jan 28 00:17:31 2014 TCP connection established with [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:31 2014 TCPv4_CLIENT link local: [undef]
    Tue Jan 28 00:17:31 2014 TCPv4_CLIENT link remote: [AF_INET]x.x.x.x:443
    Tue Jan 28 00:17:31 2014 MANAGEMENT: >STATE:1390864651,WAIT,,,
    Tue Jan 28 00:17:31 2014 MANAGEMENT: >STATE:1390864651,AUTH,,,
    Tue Jan 28 00:17:31 2014 TLS: Initial packet from [AF_INET]x.x.x.x:443, sid=37cdc6e8 d8dbe322
    Tue Jan 28 00:17:32 2014 VERIFY OK: depth=1, C=ch, L=Sissach, O=Firma AG, CN=Firma AG VPN CA, emailAddress=name@email.de
    Tue Jan 28 00:17:32 2014 VERIFY ERROR: could not extract CN from X509 subject string ('C=ch, L=Sissach, O=Firma AG') -- note that the username length is limited to 64 characters
    Tue Jan 28 00:17:32 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Tue Jan 28 00:17:32 2014 TLS Error: TLS object -> incoming plaintext read error
    Tue Jan 28 00:17:32 2014 TLS Error: TLS handshake failed
    Tue Jan 28 00:17:32 2014 Fatal TLS error (check_tls_errors_co), restarting
    Tue Jan 28 00:17:32 2014 SIGUSR1[soft,tls-error] received, process restarting
  • 0
    A CN in the user certificate is required. Assign a cert with a CN and it will work.
  • 0 in reply to d12fk
    A CN in the user certificate is required. Assign a cert with a CN and it will work.


    The X509 i used already contained a CN:

    admin (X509 User Cert) (regenerated) (regenerated) (regenerated) (regenerated) (regenerated)
    VPNId [Distinguished name] C=ch, L=Sissach, O=***x AG, CN=admin
    Valid from Feb 8 10:31:37 2013 GMT through Jan 1 00:00:01 2038 GMT
    Fingerprint 03:*64:*43:*5D:*1F:*0B:*60:*C9:*A0:*DA:*67:*73:*B2:*2D:*05:*B3:*2F:*4C:*43:*CB
     

    I forgot to mention, that we noticed this issue after uprading to 9.107-33 on many UTM's.. at least on 3 different customer sites.  

    for the sake I created a new certificate:

    Adminx509
    VPNId [Distinguished name] C=ch, ST=Sissach, L=Sissach, O=***x AG, OU=LocalAdmin, CN=***x AG
    Valid from Jan 29 15:06:05 2014 GMT through Jan 1 00:00:01 2038 GMT
    Fingerprint 42:*5A:*4A:*F2:*89:*4C:*1B:*FB:*7C:*8F:*2F:*B0:*A6:*F7:*6E:*4F:*0C:*31:*C0:*72


    Unfortunatelly I still got the same error message:

    Wed Jan 29 15:54:49 2014 OpenVPN 2.3.0 i686-w64-mingw32 [SSL (OpenSSL)] [LZO] [IPv6] built on Jun 14 2013
    Wed Jan 29 15:54:49 2014 MANAGEMENT: TCP Socket listening on [AF_INET]127.0.0.1:25347
    Wed Jan 29 15:54:49 2014 Need hold release from management interface, waiting...
    Wed Jan 29 15:54:49 2014 MANAGEMENT: Client connected from [AF_INET]127.0.0.1:25347
    Wed Jan 29 15:54:49 2014 MANAGEMENT: CMD 'state on'
    Wed Jan 29 15:54:49 2014 MANAGEMENT: CMD 'log all on'
    Wed Jan 29 15:54:49 2014 MANAGEMENT: CMD 'hold off'
    Wed Jan 29 15:54:49 2014 MANAGEMENT: CMD 'hold release'
    Wed Jan 29 15:54:55 2014 MANAGEMENT: CMD 'username "Auth" "admin"'
    Wed Jan 29 15:54:56 2014 MANAGEMENT: CMD 'password [...]'
    Wed Jan 29 15:54:56 2014 WARNING: Make sure you understand the semantics of --tls-remote before using it (see the man page).
    Wed Jan 29 15:54:56 2014 NOTE: OpenVPN 2.1 requires '--script-security 2' or higher to call user-defined scripts or executables
    Wed Jan 29 15:54:56 2014 Socket Buffers: R=[65536->65536] S=[64512->64512]
    Wed Jan 29 15:54:56 2014 MANAGEMENT: >STATE:1391007296,RESOLVE,,,
    Wed Jan 29 15:54:56 2014 Attempting to establish TCP connection with [AF_INET]x.x.x.x:443 [nonblock]
    Wed Jan 29 15:54:56 2014 MANAGEMENT: >STATE:1391007296,TCP_CONNECT,,,
    Wed Jan 29 15:54:57 2014 TCP connection established with [AF_INET]x.x.x.x:443
    Wed Jan 29 15:54:57 2014 TCPv4_CLIENT link local: [undef]
    Wed Jan 29 15:54:57 2014 TCPv4_CLIENT link remote: [AF_INET]x.x.x.x:443
    Wed Jan 29 15:54:57 2014 MANAGEMENT: >STATE:1391007297,WAIT,,,
    Wed Jan 29 15:54:57 2014 MANAGEMENT: >STATE:1391007297,AUTH,,,
    Wed Jan 29 15:54:57 2014 TLS: Initial packet from [AF_INET]x.x.x.x:443, sid=0fcd8d6f 89cff321
    Wed Jan 29 15:54:57 2014 WARNING: this configuration may cache passwords in memory -- use the auth-nocache option to prevent this
    Wed Jan 29 15:54:57 2014 VERIFY OK: depth=1, C=ch, L=Sissach, O=FIRMA AG, CN=FIRMA AG VPN CA, emailAddress=email@email.com
    Wed Jan 29 15:54:57 2014 VERIFY ERROR: could not extract CN from X509 subject string ('C=ch, L=Sissach, O=FIRMA AG') -- note that the username length is limited to 64 characters
    Wed Jan 29 15:54:57 2014 TLS_ERROR: BIO read tls_read_plaintext error: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
    Wed Jan 29 15:54:57 2014 TLS Error: TLS object -> incoming plaintext read error
    Wed Jan 29 15:54:57 2014 TLS Error: TLS handshake failed
    Wed Jan 29 15:54:57 2014 Fatal TLS error (check_tls_errors_co), restarting
    Wed Jan 29 15:54:57 2014 SIGUSR1[soft,tls-error] received, process restarting
    Wed Jan 29 15:54:57 2014 MANAGEMENT: >STATE:1391007297,RECONNECTING,tls-error,,
    Wed Jan 29 15:54:57 2014 Restart pause, 5 second(s)
  • 0
    Then it must be the server certificate. Please check that one, too.
  • 0 in reply to d12fk
    Then it must be the server certificate. Please check that one, too.


    Thanks for the hint, i created a server certificated with a CN and now it works.

    We have many UTM deployments  and there was never a need to fill out the CN field in the SSL Server certificates, it seems like this "feature" [:@] was indroduced with openVPN version 2.3.1

    from the OpenVPN Changelog:
    Heiko Hund (5):
          close more file descriptors on exec
          Ignore UTF-8 byte order mark
          reintroduce --no-name-remapping option
          make --tls-remote compatible with pre 2.3 configs
          add new option for X.509 name verification


    unfortunatelly Sophos did not implemented this as "an option" but more than a default setting!


    The sitation now for most of our customers is, that they need to reissue the server certificate before they upgraded their VPN client's. currently users with a pre-2.3.1 client can still connect, while others who allready upgraded receive the error message....  so at the end, all have to upgrade their openvpn clients..
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML